Les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 r\u00e9pertori\u00e9es dans la base de donn\u00e9es CVE (Common Vulnerabilities and Exposures) constituent un enjeu majeur pour la cybers\u00e9curit\u00e9 mondiale. Mon analyse se concentre sur un ensemble de CVE particuli\u00e8rement critiques, car elles ont \u00e9t\u00e9 exploit\u00e9es dans le cadre d’attaques par ran\u00e7ongiciels \/ ransomware ou d’op\u00e9rations d’espionnage informatique.<\/p>\n\n\n\n
R\u00e9partition par ann\u00e9e : Complexit\u00e9 d’exploitation (Score CVSS): Les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 r\u00e9pertori\u00e9es dans la base de donn\u00e9es CVE (Common Vulnerabilities and Exposures) constituent un enjeu majeur pour la cybers\u00e9curit\u00e9 mondiale. Mon analyse se concentre sur un ensemble de CVE particuli\u00e8rement critiques, car elles ont \u00e9t\u00e9 exploit\u00e9es dans le cadre d’attaques par ran\u00e7ongiciels \/ ransomware ou d’op\u00e9rations d’espionnage informatique. R\u00e9partition par ann\u00e9e :– […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[35],"tags":[],"class_list":["post-533","post","type-post","status-publish","format-standard","hentry","category-technologies-et-cybersecurite"],"blocksy_meta":[],"yoast_head":"\n
<\/strong>– 2010-2014 : 114 CVE (12.8%) \ud83d\udeeb
– 2015-2019 : 226 CVE (25.3%) \u2708
– 2020-2024 : 552 CVE (61.9%) \ud83d\udca5<\/p>\n\n\n\n
<\/strong>– Faible : 35%
– Moyenne : 45%
– \u00c9lev\u00e9e : 20%
Cela souligne l’importance cruciale pour les organisations d’appliquer rapidement les correctifs de s\u00e9curit\u00e9, car m\u00eame les vuln\u00e9rabilit\u00e9s apparemment moins complexes peuvent repr\u00e9senter un risque significatif.
Top 10 des CVE les plus exploit\u00e9es dans ce contexte :<\/strong>
> CVE-2021-44228 (Log4Shell) : 23 groupes d’attaquants \ud83d\ude1d
> CVE-2015-7645 : 22 groupes d’attaquants
> CVE-2015-5119 : 21 groupes d’attaquants
> CVE-2013-2551 : 20 groupes d’attaquants
> CVE-2015-8651 : 19 groupes d’attaquants
> CVE-2014-0515 : 18 groupes d’attaquants
> CVE-2016-4117 : 18 groupes d’attaquants
> CVE-2022-1388 : 17 groupes d’attaquants
> CVE-2022-22947 : 17 groupes d’attaquants
> CVE-2013-0074 : 16 groupes d’attaquants
R\u00e9partition des CVE par fournisseur\/technologie :<\/strong>
* Microsoft : 25.7% \ud83d\udcbe
* Autres : 22.1%
* Adobe : 18.3%
* Oracle Java : 9.6%
* Apache : 7.2% \ud83d\udd78
* Fortinet : 4.5%
* Citrix : 3.8%
* VMware : 3.2% \ud83d\udda5
* F5 : 2.9%
* Pulse Secure : 2.7%
Types de vuln\u00e9rabilit\u00e9s les plus fr\u00e9quentes :
<\/strong>– Ex\u00e9cution de code \u00e0 distance : 38.4%
– \u00c9l\u00e9vation de privil\u00e8ges : 22.7%
– D\u00e9passement de tampon : 12.9%
– Injection de code : 9.6%
– Contournement d’authentification : 8.3%
– Divulgation d’informations : 5.7%
– D\u00e9ni de service : 2.4%
\u00c9volution des tendances par p\u00e9riode :<\/strong>
2010-2014 :
– Forte pr\u00e9sence de vuln\u00e9rabilit\u00e9s Java et Adobe Flash
– \u00c9mergence des vuln\u00e9rabilit\u00e9s li\u00e9es aux navigateurs web
2015-2019 :
– Pic des vuln\u00e9rabilit\u00e9s Adobe Flash et Microsoft Office
– Augmentation des vuln\u00e9rabilit\u00e9s li\u00e9es aux serveurs web
2020-2024 :
– Forte augmentation des vuln\u00e9rabilit\u00e9s li\u00e9es aux services cloud et VPN
– Persistance des vuln\u00e9rabilit\u00e9s Windows et Office
– \u00c9mergence de vuln\u00e9rabilit\u00e9s critiques comme Log4Shell
Analyse des d\u00e9lais de correction \ud83d\ude91 :<\/strong>
– D\u00e9lai moyen entre la d\u00e9couverte et la publication : 45 jours
– 15% des CVE ont \u00e9t\u00e9 exploit\u00e9es avant la publication d’un correctif
– 30% des CVE ont \u00e9t\u00e9 corrig\u00e9es dans les 7 jours suivant leur d\u00e9couverte
Impact sur les secteurs d’activit\u00e9 :<\/strong>
– Secteur financier : 28% (pensez \u00e0 DORA)
– Secteur de la sant\u00e9 : 22% (pensez \u00e0 HDS)
– Secteur gouvernemental : 19% (pensez \u00e0 NIS2)
– Industrie manufacturi\u00e8re : 15%
– \u00c9ducation : 10%
– Autres : 6%<\/p>\n","protected":false},"excerpt":{"rendered":"